CVE-2026-10669 in zephyrinformação

Sumário

de VulDB • 15/07/2026

Nos SoCs Xtensa construídos com CONFIG_XTENSA_MPU e CONFIG_USERSPACE, a função arch_buffer_validate() em arch/xtensa/core/mpu.c — o hook de arquitetura que verifica se um fornecido pelo modo usuário é acessível ao thread do chamador no modo usuário com as permissões solicitadas — definia seu valor de retorno padrão como 0 (acesso permitido) e apenas configurava um resultado de negação dentro de seu loop de verificação por região MPU. Quando a extensão arredondada do buffer faz wraparound no espaço de endereçamento de 32 bits (tamanho + deslocamento de alinhamento próximo ao SIZE_MAX, ou ROUND_UP(size + offset) transbordando para 0), o loop executa zero iterações e a função retorna 0 = permitido sem verificar nenhuma região MPU.

As pré-verificações na camada do syscall (K_SYSCALL_MEMORY_SIZE_CHECK / Z_DETECT_POINTER_OVERFLOW) apenas detectam um wraparound bruto de addr+size e não cobrem o wraparound induzido pelo ROUND_UP, e o caminho da string (arch_user_string_nlen -> arch_buffer_validate) não possui nenhuma proteção em nível de syscall.

Portanto, um thread no modo usuário sem privilégios pode passar uma entrada manipulada (addr, size) para qualquer syscall que valide buffers do usuário via k_usermode_from_copy/to_copy ou k_usermode_string_copy e ter a validação bem-sucedida para memória que não deveria acessar; o kernel então lê de (divulgação de informações) ou, com write=1, escreve em (corrupção de memória) escolhidos pelo atacante no kernel ou na memória de outra partição em nome do thread, permitindo divulgação de informações, corrupção de memória, elevação de privilégio e negação de serviço.

Afeta desde a v3.7.0 (quando o suporte ao userspace MPU Xtensa foi adicionado) até a v4.4.0. A correção altera o padrão para -EINVAL (negar por padrão), adiciona uma verificação explícita de size_add_overflow e define o valor de sucesso apenas após toda a faixa ter sido validada.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

Zephyr

Reservar

02/06/2026

Divulgação

14/07/2026

Moderação

aceite

Entrada

VDB-378312

CPE

pronto

EPSS

0.00114

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!